Empire ile Office Macro Phishing Saldırısı Hazırlamak

Herkese Merhabalar,

Bu yazımda yine Empire ile bir senaryo üzerinden gideceğiz. Bundan önceki yazımda  Empire Post Exploitation Araç Kurulumu ve Kullanımı adlı bir yazıydı. Bu yazının sonunda Empire kullanarak Macro kodu ile powershell payloadı üretmeye değinmiştim. Fakat yazının sonunda kısaca değindiğim için uygulama kısmında sorun yaşayanlar olmuş, onun için ikinci bir yazı ile değineyim dedim 🙂 İlk yazıyı okumayanlar okuduktan sonra bu yazıyı okursa daha faydalı olacaktır diye düşünüyorum.

Empire açtıktan sonra resimde görüldüğü gibi eğer listener yoksa uselistener komutu ile bir adet listener oluşturuyoruz.

info komutu ile listener hakkınad parametre bilgilerini görüntüleyip değişlikler yapabilirsiniz. set komutu ile parametrelere değer girebilir/değiştirebilirsiniz.

usestager windows/macro Listener_Adı komutu ile stager kullanıp macro olarak powershell payloadı oluşturabilmekteyiz.

Artık macro kodumuz hazır. Bunu istere Word ister Excel dosyasına macro olarak gömebilir, sosyal mühendislik çalışması için kullanabilirsiniz. Masraf Formu.xls  ya da CV.doc şeklinde insanların ilgisini çekecek biçimde göndererek açmasını sağlayarak hedefte erişim sağlayabilirsiniz.

Bu kısımda denemek için ben word dosyası açıp, Görünüm ->Makrolar a tıklayarak bir makro oluşturdum.

Empire ile oluşturduğumuz macro kodumuzu kopyalıyoruz.

Yaptığımız işlemleri kaydettikden sonra, farklı kaydet diyerek Word 97-2003 dosyası olarak kayıt ediyoruz. Artık dosyamız hazır hedefe göndereceğimiz son şeklinde, bir senaryo ile hedefe gönderip açtırmak hayal gücünüze ve yeteneğinize kalıyor 🙂

Hazırladığımız zararlı word dosyasının virustotal tarama sonucu yukarıda görülmektedir. Hiç bir tespit bulunmamaktadır.

Dosyayı açtığımızda macroyu etkinleştirme uyarısı gelmekte, eğer hedefiniz dosyaya güvenip İçeriği Etkinleştir’e tıklarsa her şey başarılı bir şekilde gerçekleşecektir.

Başarılı bir şekilde listenerımıza bağlantı geldi ve agentımız oluştu.

Sistem bilgileri bu şekilde karşımızda, bundan sonra Empire Post Exploitation aşamaları kolaylıkla gerçekleşmektedir, bir önceki yazıda bulunmakta bu aşamalar.

Başka bir yazıda görüşmek üzere.

Ahmet Gürel

Cyber Security Researcher | Penetration Tester

Leave a Reply